Unternehmer aufgepasst! Am 25. Mai 2018 tritt die neue EU-Datenschutz Grundverordnung (DSGVO) in Kraft. Sie stellt neue Anforderungen an den Datenschutz auf, die alle Unternehmen, die in der EU personenbezogene Daten, wie zum Beispiel Kundendaten aber auch IP-Adressen, erheben oder verarbeiten, beachten müssen. Eine Übergangs- bzw. Schonfrist gibt es nicht.
Ab dem 25.05.2018 müssen alle nötigen Handlungen zur Anpassung vollzogen sein, sonst drohen hohe Bußgelder, Sanktionen und kostenpflichtige Abmahnungen von Mitbewerber, Verbraucherverbänden oder der Wettbewerbszentrale.
Dabei wird die DSGVO durch das ebenfalls überarbeitete Bundesdatenschutzgesetz (BSDG) ergänzt, wobei die DSGVO jedoch vorrangig gilt.
Saftige Strafen in Höhe von bis zu 20. 000 000 € drohen!
Auf der einen Seite ist Datenschutz lästig und kostet viel Zeit und Geld. Wir verstehen das.
Auf der anderen Seite spielen Daten mit fortschreitender Digitalisierung eine immer größere Rolle im Wirtschaftleben. Deshalb sollten für den Umgang mit diesen Daten auch klare Spielregeln gelten, die von allen Beteiligten ernst genommen werden sollten. Hier setzt die DSGVO an.
Die neuen Datenschutzrichtlinien sehen daher sehr hohe Bußgelder vor. Je nach Schwere des Verstoßes können Strafen von bis zu 4% des weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahres eines Unternehmens verhängt werden. Maximale Strafe ist nach neustem Bußgeldkatalog 20 Millionen Euro. Selbst für große Unternehmen wie Facebook oder Google kann ein Verstoß also ernsthafte Konsequenzen haben, weshalb die Anpassungen an die DSGVO dort auch schon auf Hochtouren laufen dürften.
Verstöße gegen die DSGVO können kostenpflichtig abgemahnt werden!
Teilweise kann die Verletzung von Datenschutzrecht nach der DSGVO auch als unlauterer Wettbewerb durch Mitbewerber abgemahnt werden. Dies ist dann der Fall, wenn es sich bei der Datenschutznorm um eine „Marktverhaltensregelung“ im Sinne des Wettbewerbsrechts handelt, zum Beispiel bei einem Verstoß gegen Informationspflichten nach Art. 12-14 DSGVO in der Datenschutzerklärung auf Ihrer Website, z.B. Informieren über das Beschwerderecht bei der Aufsichtbehörde für den Datenschutz, oder die Angabe der Rechtsgrundlagen der Datenerhebung – und Verarbeitung, die Kontaktdaten des Datenschutzbeauftragten oder bei der Datenschutzfolgenabschätzung oder einer fehlender oder fehlerhafter Einwilligung nach Art. 6-8 DSGVO.
Die Rechtssprechung in den nächsten Jahren wird zeigen, ob sich aufgrund der DSGVO noch weitere Abmahngründe ergeben. Dies ist zum Beispiel bei Verstößen gegen die Datensicherheit gemäß Art. 32 DSGVO denkbar.
Was muss zur Einhaltung der neuen EU-DSGVO Vorschriften ab 2018 geändert werden?
Die Datenschutz Grundverordnung stellt eine Vielzahl neuer Regelungen, von denen wir als Kanzlei für Datenschutzrecht einige auch schon vor in Kraft treten der DSGVO als best practices berücksichtigt haben, wenn wir zum Beispiel Datenschutzerklärungen für unsere Mandanten erstellt haben. Unternehmen, die bereits nach DIN ISO 9001 oder DIN ISO 27001 zertifiziert sind, sind zwar grundsätzlich klar im Vorteil gegenüber Unternehmen, die es mit dem Datenschutz bisher nicht so genau genommen haben. Doch auch bei ihnen lohnt es sich, einmal prüfen zu lassen, ob die neuen Vorschriften der DSGVO zum Datenschutz eingehalten werden.
Haben Sie schon einen Datenschutzbeauftragten?
Zu diesen neuen Vorschriften gehört nach Art. 37 DSGVO beispielsweise die Einstellung eines sogenannten Datenschutzbeauftragten. Dieser ist in Unternehmen Pflicht, in denen 10 oder mehr Personen mit der automatisierten Datenverarbeitung am Computer beschäftigt sind. Hierfür reicht es aus, wenn die Mitarbeiter Zugriff auf Kundenverzeichnisse oder Ähnliches haben. Der Datenschutzbeauftragte muss dann ab Mai 2018 gem. Art. 39 DSGVO beispielsweise folgende Aufgaben übernehmen: Beratung der Verantwortlichen, Überwachung der Einhaltung der neuen Vorschriften und Kontakt zur Aufsichtsbehörde pflegen. Haben Sie schon geprüft, ob Sie einen Datenschutzbeauftragten benötigen?
Pflicht bei sensiblen Daten: Datenschutzfolgeabschätzung (DSFA)
Außerdem neu ist die Datenschutzfolgeabschätzung (DSFA). Diese wurde zum Schutz besonders sensibler Daten, wie beispielsweise Informationen über ethnische Herkunft oder politische Einstellung der Betroffenen, ins Leben gerufen. Da diese Daten äußerst missbrauchsgefährdet sind, sichert ihnen die DSGVO verstärkten Schutz zu. Dies soll durch bessere Dokumentation der Datenerhebung und eine genauere Nachvollziehbarkeit der Datennutzung erfolgen.
Die Datenschutzfolgeabschätzung hat jedoch insgesamt nur einen kleinen Anwendungsbereich und ist nur verpflichtend für Unternehmen, die sehr sensible Daten speichern, zum Beispiel Arztpraxen.
Datenübertragbarbeit – Daten müssen nun „mitgenommen“ werden können
Eine weitere große Änderung ist die Pflicht zur Ermöglichung der Datenübertragbarkeit von einem Unternehmen zu einem anderen. Der Betroffene soll zukünftig alle übermittelten Daten als Datenpaket zu einem neuen Unternehmen mitnehmen können, also beispielsweise von einem Social-Media-Profil zum anderen. Hier ist äußerst fraglich, wie dies in der Praxis verwirklicht werden kann. Die Zukunft wird es zeigen.
Ist die Datenschutzerklärung auf Ihrer Website rechtssicher?
Als Kanzlei für Datenschutzrecht empfehlen wir allen Unternehmen, die Datenschutzerklärung Ihrer Website rechtzeitig vor In-Kraft-Treten der DSGVO am 25.05.2018 von einem Rechtsanwalt für Datenschutzrecht prüfen zu lassen. Gerne klären wir für Sie ab, ob Ihre Datenschutzerklärung nach der DSGVO rechtssicher ist. Als Rechtsanwaltskanzlei für Datenschutzrecht stehen wir an Ihrer Seite!
Wir freuen uns Sie kennenzulernen.